CVE-2022-26134 の FAQ
全般的な情報
アトラシアンでは、Confluence Data Center と Server における、重大な深刻度を持つ未認証のリモート コード実行の脆弱性を把握しています。 認証されていないユーザーが、Confluence Server または Data Center インスタンスで任意のコードを実行できる、OGNL インジェクションの脆弱性が存在します。詳細を「Confluence Server および Data Center - CVE-2022-26134 - 未認証のリモート コード実行についての重大な深刻度の脆弱性」でご確認ください。
このページでは、この脆弱性に関するよくある質問をまとめています。新しい情報が公開されたら、アトラシアンのセキュリティ チームがこのページを継続的に更新します。
クラウド インスタンスは影響を受けますか?
いいえ、アトラシアンのクラウド インスタンスは脆弱性を持たず、お客様による対応は不要です。
アトラシアンの他のサーバー (DC) 製品はこの脆弱性の影響を受けますか?
これは Confluence Server と Confluence Data Center に固有の脆弱性であり、Crowd、Jira、Bitbucket、Bamboo などの他のアトラシアンのサーバー/DC 製品には影響しないと考えられています。ご利用のインスタンスが侵害されたとお考えの場合は、社内のセキュリティ チームとともに影響の全体像や軽減計画のスコープ設定を行ってください。また、高優先度のサポート ケースをオープンしてアトラシアン サポートにすぐにお知らせください。
Confluence Server/DC インスタンスは影響を受けますか?
すべてのサポート対象のConfluence Server および Data Center バージョン、ならびに Confluence Server および Data Center の 1.3.0 よりもあとのバージョンが、Confluence の CVE-2022-26134 インシデントの影響を受けます。
必要なアクション: アトラシアンでは、最新の長期サポート リリースへのアップグレードを推奨しています。最新バージョンの完全な説明については、Confluence Server および Data Center のリリース ノートをご確認ください。最新バージョンはダウンロード センターからダウンロードできます。
アップグレードで支援が必要です
Confluence のアップグレードについての詳細情報やステップバイステップの手順については、「Confluence のアップグレード」または「Confluence を手動でアップグレードする」をご確認ください。Confluence のアップグレードについての推奨されるサポート対象の手法です。このコメントのすべての情報のほか、アップグレードの成功に役立つヒントが含まれています。
本番環境の停止を防ぐために行うもっとも重要なステップは、アップグレードに最初にステージング環境でテストすることで変更管理のベスト プラクティスに従うことです。ステージング環境のセットアップ方法の詳細については「Confluence のアップグレードのためにステージング環境を作る」をご確認ください。
引き続きご質問や懸念をお持ちの場合は次のリンクからサポート リクエストを起票してください。https://support.atlassian.com/ja/
Confluence 内に "disabledsystemuser" というユーザーが存在します。これは標準の挙動ですか、それともハッキングが試行されたのを示すものですか?
disabledsystemuser ユーザーは、Confluence Questions プラグインが Confluence のサーバーから Confluence Cloud への移行中に特定のアクションを実行するために作成した、Confluence の内部ユーザーです。このユーザーは無視してかまいません。Confluence 側のセキュリティ問題に関連するものではありません。
セキュリティ勧告によると、当社の Confluence サーバーのインスタンスは脆弱性を持ちます。これは SSO を実行しているサービスにも影響しますか?
はい。CVE-2022-26134 の Confluence のセキュリティ勧告のページでご説明しているように、これは未認証のリモート コード実行についての、重大な深刻度の脆弱性です。Confluence インスタンスは、構成済みの認証メカニズムにかかわらず脆弱性を持ちます。
当社のインスタンスはインターネットに接続されていません。安全でしょうか?
Confluence インスタンスにインターネットから接続できない場合、インターネットから発生する攻撃のリスクは否定されます。ただし安全のため、CVE-2022-26134 の Confluence のセキュリティ勧告ページのガイダンスは引き続き適用されます。この脆弱性の深刻度が重大であることや、インスタンスにアクセス可能なさまざまな方法を踏まえ、軽減策が必要な場合は社内のネットワーク/セキュリティ チームとともに対策にあたってください。
アトラシアンはメールの送信先をどのように判断したのですか?
アトラシアンではお客様が関心を示した製品について、すべての重大なセキュリティ勧告のコピーを "アラート" メーリング リストに送信します (Sourcetree を除く)。このリストに登録するには、https://my.atlassian.com/email でメール設定を更新してください。
Confluence がすでに攻撃されているかどうかを確認することはできますか?
恐縮ながら、お客様の Confluence インスタンスが攻撃を受けたかどうかを弊社側で確認することはできません。詳細な調査が必要な場合、内部のセキュリティ チーム、スペシャリスト、セキュリティ フォレンジック機関にご相談ください。
アトラシアンでは、Confluence のファイルシステムの完全性を確認することを推奨しています。たとえば、現在の状態のアーティファクトを直近のバックアップと比較することで、予期せぬ差分があるかどうかを確認できます。
セキュリティ侵害はそれぞれ異なり、攻撃されたコンポーネントによっては、攻撃者が痕跡を消し、重要なファイル (syslog、監査ログ、アクセスログなど) を変更しているリスクがあります。
私のインスタンスはインターネットに公開されていません。この場合もアップグレードは推奨されますか?
はい。Confluence Server および Data Center の修正済みバージョンへのアップグレードは、ご利用のインスタンスを CVE-2022-26134 から保護する唯一の方法です。
パッチが動作するかどうかはどのように確認できますか? 当社のセキュリティ チームが修正をテストできるように詳細情報を提供してください。
この問題についての公開チケットでは、この問題は OGNL テンプレート インジェクション経由の未認証のリモート コード実行の脆弱性であることを共有しています。当社では、脆弱性を持つインスタンスを開示するペイロードを共有することはできませんが、こちらの情報をペネトレーション テスト チームに提供して開始点にしていただければと思います。
多くの詳細情報を共有すると、悪意のある攻撃者がそれを利用し、脆弱性を持つ他の Confluence インスタンスへの攻撃方法を開発する可能性があります。